[전산망 대란][일문일답]박재문 방통위 네트워크정책국장
방송통신위원회는 지난 20일 발생한 전산망 대란 이후 추가 해킹 피해 가능성에 대해 "모든 가능성을 열어두고 있다"고 21일 밝혔다.
다만 기업 이외에 개인들의 피해 가능성에 대해서는 "피해를 입은 6개사의 시스템에 접속된 내부 PC가 아닌, 일반 국민들의 PC가 감염됐다고 추정하기는 어렵다"고 밝혔다.
정부에 따르면 이번 전산망 대란으로 언론·금융 6개사의 PC·서버 3만2000여대가 피해를 당한 것으로 파악됐다. 농협 등 피해를 입은 일부 시스템의 경우 중국IP가 업데이트 관리 서버에 접속해 악성파일을 생성한 것도 확인됐다.
이번 사태로 피해를 입은 PC가 복구되는 등 완전정상화가 되기까지는 최소 4~5일 소요될 전망이다.
다음은 박재문 방통위 네트워크정책국장과의 일문일답.
-추가 피해가능성에 대해 많은 사람들이 걱정하는데 정부는 어떻게 보나?
▶모든 가능성을 열어두고 있다. 이번 공격은 업데이트 서버를 공격해 악성코드를 뿌린 형태다.
이를 대비하기 위해 정부는 국가 공공기관들을 상대로 백신 업데이트 서버를 인터넷과 분리토록 조치했고 백신 업데이트 작업이 이뤄지기 때문에 같은 유형의 추가공격 대응은 어느 정도 될 것으로 보인다.
-침입경로가 보안기업의 업데이트 서버다, 침해기업 업데이트 서버다 등으로 논란이 되고 있다. 설명을 해달라.
▶아직까지 6개사의 종합적 조사결과를 말하기 어렵다. 농협의 경우 업데이트 서버의 위치가 농협에서 관리하는 PMS(업데이트 관리서버·Patch Management System)에 악성코드가 심어졌고, 이것이 PC에 전파됐다고 현재 분석하고 있다.
-과거 북한의 해킹은 중국발IP였는데 이것도 마찬가지다. 가능성은?
▶중국IP로는 여러 추정이 가능하다. 현 단계에서는 여러가지 가능성을 다 열어놓고 해커 실체 규명 최선을 다하고 있다.
독자들의 PICK!
-PC부팅시 CMOS에서 시간 설정 재조정하라고 하는데, 어떻게 하라는 것인가? 추가 피해가 있다는 것인가?
▶CMOS 데이터는 PC를 능숙하게 다루면 어렵지 않게 설정할 수 있다. CMOS에서 시간을 재설정하라는 것은 악성코드가 특정 시간대에 작동하는 것으로 판단하고 있기 때문이다. 특정시간대에 작동한다면 특정시간만 피해면 피해에서 벗어날 수 있다. 사건이 발생한 날인 20일 14시를 피하면 된다. 개인 피해를 한정하는 것이 아니다.
바이러스가 유포된 것이 PMS를 통해서 감염됐다고 보고 있다. 때문에 피해를 입은 6개사의 시스템에 접속된 내부 PC라면 모를까 일반 국민에게 감염됐다고 추정하기는 어렵다. 다만 이런 사고가 있었고, 이에 대응하기 위한 백신이 개발됐기 때문에 안전을 위해 안내했다.
정부는 모든 가능성을 열어둬야 하기 때문에 예방을 위해서 국민에게 업데이트 백신을 보급하는 것이다.
-6개 기관이 같은 조직의 공격 받았다는 판단 근거는?
▶하드디스크를 훼손하는 특징들이 동일하게 나타났다. 또한 이들 공격 악성코드의 문자열이 중복돼 같은 조직의 공격을 받은 것으로 판단하고 있다.
-7.7 디도스 대란 때도 하드디스크를 파괴하는 기법이 있었다. 이번 공격은 당시와 관련해 어떤 점이 진화했고, 특징은 무엇인가?
▶조사 중이어서 (이를 규명하기) 섣부른 감이 있다. 부팅장애를 유발하는 기법은 과거 하드디스크 섹터 앞부분에 손상을 가하는 것으로 과거와 비슷하다. 다만 이번 공격은 각 OS(운영체제)별 특성을 감안해 각각 다른 동작을 하도록 했다.
-LG유플러스(15,620원 ▲160 +1.03%)서버가 먼저 해킹되면서 망관리 주소가 유출됐다는 얘기가 있는데.
▶아직 결과가 나오지 않았다. 현재 한 단계씩 조사를 진행시키는 것이 아주 용이하지는 않다. 조사되는 대로 명백히 규명된 내용은 그때그때 바로 알리겠다.
